facebook LinkedIN LinkedIN - follow
IT SYSTEMS 11/2019 , IT Security

Kyberválky jsou krutou realitou

Je důvod se bát?

Daniel Šafář


Check PointEstonsko se stalo na jaře 2007 prvním státem, který byl obětí masivního, cíleného kybernetického útoku. Obří DDoS útok ochromil vládní a další kritické webové stránky a systémy, jako je bankovní infrastruktura, a donutil v té době jednu z nejvíce propojených zemí na světě odpojit se od internetu, aby bylo možné zotavit se z útoku a obnovit služby.


Od té doby počet útoků zaměřených na kritické infrastruktury a destabilizaci zemí neustále roste. Například nechvalně známý červ Stuxnet, který byl detekován v červnu 2010 a cílil na kritickou infrastrukturu v Íránu, byl téměř jistě útok sponzorovaný některým cizím státem. USA a Spojené království zase vydaly v dubnu 2018 společné prohlášení o škodlivé kybernetické činnosti, kterou údajně spáchala ruská vláda.

Existuje mnoho potenciálních důsledků rozsáhlých kybernetických útoků zaměřených na národní státy. Někdy to může být jen nepříjemné a obtěžující, ale někdy mohou být škody smrtící. Co kdyby byla například přerušena dodávka elektřiny nebo vody do města, třeba jen na 36 hodin? Podniky by nebyly schopné fungovat. Pacienti v nemocnicích a zranitelní lidé by mohli umřít. Rozsáhlý útok na bankovní systém by mohl ochromit finanční trhy a způsobit, že podniky - dokonce i celé ekonomiky - selžou. A o dopadu útoků, které naruší dopravní systémy, jako je řízení letového provozu, ani nemusíme mluvit, tam jsou důsledky zjevné.

Kybernetické války jsou zkrátka skutečným a aktuálním nebezpečím. Otázka zní, co mohou národní vlády udělat pro ochranu svých občanů a infrastruktury?

Současný stav národní kybernetické bezpečnosti

Je důležité si uvědomit, že národní kybernetická rizika nepochází jen od jiných států. Kyberzločinecké organizace, teroristé, hacktivisté a další skupiny používají sofistikované nástroje a uniklé kybernetické zbraně vyvinuté státy, jako to bylo například v případě celosvětového útoku ransomwaru WannaCry (a následného útoku NotPetya) v roce 2017. Není divu, že zpráva 2018 Global Risks Report Světového ekonomického fóra řadí kybernetické útoky hodně vysoko. Proto většina národních států změnila pohled a už nevnímá kyberhrozby „pouze“ jako riziko pro finance, data nebo soukromí, ale jedná se o skutečnou hrozbu pro fyzickou bezpečnost a život.

Většina národních vlád má proto nyní třístupňový přístup ke kybernetické obraně. Zaprvé mají tendenci rozvíjet útvary, které se zaměřují na zkoumání nejlepší strategie, legislativy a přístupu k řešení kybernetických hrozeb.

Za druhé se vlády zaměřují na programy vzdělávání a zvyšování povědomí o hrozbách. A většinou se snaží vypořádat s celosvětovým nedostatkem odborníků na kyberbezpečnost. Odhaduje se totiž, že do roku 2021 bude 3,5 milionu neobsazených pracovních míst, které vyžadují experty na kyberbezpečnost.

Zatřetí zřizují alespoň jeden civilní národní tým CERT (Computer Emergency Response Team) s cílem čelit kybernetickým hrozbám a útokům. Státy obvykle oddělují svou vojenskou kybernetickou obranu od civilní obrany. Pro civilní obranu mohou mít jeden centralizovaný CERT nebo několik CERTů, které se zaměřují na jednotlivé oblasti. Ale jak už vyplývá z jejich označení, CERT jsou ze své podstaty spíše reaktivní než proaktivní. Obvykle jednají až poté, co došlo k nějakému závažnému kybernetickému incidentu. Některé CERTy se snaží postupně přidávat aktivní schopnosti - shromažďují informace a snaží se upozornit na nová rizika nebo předvídat útoky, ale účinnost těchto opatření je omezená, protože celkový cyklus detekce, analýzy, zveřejnění a implementace může trvat týdny, namísto sekund nebo minut.

V každém případě - většina CERTů postrádá legislativní i technické možnosti proaktivní ochrany národních zájmů v reálném nebo téměř reálném čase. A tady se věci musí změnit. Dnes, i když je CERT informován několik hodin před megaútokem, nemá prostředky na proaktivní blokování útoku a obranu hlavních průmyslových odvětví, veřejných služeb, nemocnic, letišť a dalších kritických zařízení.

Všechny hlavní přístupové body do národních kritických infrastruktur by měly být aktivně monitorovány a využívat všechny dostupné kanály a informace o hrozbách, aby bylo možné identifikovat, analyzovat a určit správnou reakci na příchozí hrozby. V kombinaci s prevencí hrozeb v reálném čase k zachycení nových, maskovaných malwarových hrozeb dříve, než se mohou masivně šířit.

Budování efektivní kybernetické bezpečnosti

Podívejme na bezpečnostní model, který dobře známe. Tradiční národní ochrana využívá kromě obrany hranic také nástroje, jako je radar pro sledování oblohy, zda nehrozí raketové útoky. To umožňuje analyzovat nepřátelské akce a přijímat informovaná rozhodnutí, zda vyzvat občany k přesunu do krytů nebo zda zahájit protiraketový útok.

A podobný přístup by měla mít i celonárodní kybernetická obranu. Obrana hranic i vnitřní ochrana jsou potřeba při boji s nejrůznějšími hrozbami, od rozsáhlých pokusů o DDoS po maskovaný, nebezpečný malware. Všechny hlavní přístupové body do kritických infrastruktur země by měly být aktivně monitorovány a informace zasílány do operačního střediska k identifikaci, analýze a určení správné reakce na příchozí hrozby. To lze kombinovat s prevencí hrozeb v reálném čase k zachycení nových maskovaných hrozeb.

Vrstva pro analýzu a viditelnost hrozeb by měla být nad vlastní kybernetickou obranou a informačními kanály organizací, aby zajistila celkovou národní kybernetickou odolnost. Navíc ochrana musí být co nejvíce automatizovaná s okamžitou reakcí a minimální nutností zásahu člověka. Rychlost reakce musí odpovídat rychlosti, jakou se dnes mohou šířit hrozby. Ochrana by měla využívat informace v reálném čase a zohledňovat konkrétní situace, aby byla zajištěna ochrana i před zcela novými hrozbami.

Internet způsobil revoluci a změnil naše životy. A změnil i mezinárodní diplomacii a války. Pro efektivní ochranu států před novou generací kyberhrozeb je nutný komplexní přístup a identifikování už prvotních známek útoků a jejich automatické zachycení a blokování v rané, předinfekční fázi, než mohou způsobit masivní škody.

Daniel Šafář
Autor článku je Country Manager CZR regionu ve společnosti Check Point.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.